Senin, 22 Oktober 2018

BAB 11. Pengauditan Sistem Informasi Berbasis Komputer

Pengauditan adalah proses sistematik atas pemerolehan dan pengevaluasian bukti mengenai asersi-asersi tentang tindakan dan kejadian ekonomi dalam rangka menentukan seberapa baik kesesuaiannya dengan kriteria yang ditetapkan.

Pengauditan internal yaitu aktivitas penjaminan dan konsultasi yang didesain untuk menambah nilai dan meningkatkan efektifitas dan efiensi organisasi, serta mencapai tujuan organisasi.

Ada beberapa jenis dari audit internal :
  1. Audit keuangan adalah pemeriksaan keterandalan dan integritas dari transaksi-transaksi keuangan, catatan akuntansi, dan laporan keuangan.
  2. Sebuah sistem informasi atau audit pengendalian internal, memeriksa pengendalian dari sebuah SIA untuk menilai kepatuhannya dengan kebijakan dan prosedur pengendalian internal serta efektifitas dalam pengamanan aset.
  3. Sebuah audit operasional berkaitan dengan penggunaan secara ekonomis dan efisien atas sumber daya dan pencapaian tujuan serta sasaran yang ditetapkan.
  4. Sebuah audit kepatuhan menentukan apakah entitas mematuhi hukum, peraturan, kebijakan, dan prosedur yang berlaku.
  5. Sebuah audit investigatif menguji kejadian-kejadian dari penipuan yang mungkin terjadi, penggunaan aset yang tidak tepat, pemborosan dan penyalahgunaan, atau aktivitas tata kelola yang buruk.
Terdapat tiga jenis risiko audit :
  1. Risiko bawaan adalah kelemahan terhadap risiko material karena tidak tersedianya pengendalian internal.
  2. Risiko pengendalian adalah risiko saat suatu salah saji material akan melampaui struktur pengendalian internal ke dalam laporan keuangan. 
  3. Risiko deteksi adalah risiko saat para auditor dan prosedur auditnya akan gagal mendeteksi sebuah kesalahan atau salah saji yang material.
Pengumpulan bukti audit, cara-caranya yaitu :
  • Observasi atas aktivitas-aktivitas yang diaudit 
  • Pemeriksaan atas dokumentasi 
  • Diskusi
  • Kuesioner
  • Pemeriksaan fisik
  • Konfirmasi
  • Melakukan ulang
  • Pemeriksaan bukti pendukung 
  • Tinjauan analitis
Materialitas yaitu jumlah kesalahan, penipuan, atau pengabaian yang akan memengaruhi keputusan dari seorang pengguna informasi keuangan yang hati-hati.

Penjaminan memadai adalah mendapatkan jaminan penuh bahwa informasi yang benar adalah mahal, maka auditor menerima tingkatan yang masuk akal atas risiko bahwa kesimpulan audit salah.

Pendekatan Audit Berbasis-Risiko
  1. Menentukan ancaman yang akan dihadapi perusahaan.
  2. Mengidentifikasi prosedur pengendalian yang mencegah, mendeteksi, atau memperbaiki ancaman.
  3. Mengevaluasi prosedur pengendalian
    1. Sebuah tinjauan sistem menentukan apakah prosedur pengendalian benar-benar dilaksanakan.
    2. Uji pengendalian dilakukan untuk menentukan apakah pengendalian yang ada berjalan seperti yang dikehendaki.
  4. Mengevaluasi kelemahan pengendalian untuk menetukan dampaknya dalam jenis, waktu, atau tingkatan prosedur pengauditan.
Ketika melakukan sebuah audit sistem informasi, para auditor seharusnya memastikan bahwa enam tujuan berlaku telah tercapai :
  1. Ketentuan keamanan untuk melindungi peralatan komputer, program, komunikasi dan data-data dari akses, modifikasi, atau penghancuran yang tidak diotorisasi.
  2. Pengembangan dan akuisisi program dilakukan sesuai dengan otorisasi umum dan spesifikasi manajemen.
  3. Modifikasi program mendapatkan otorisasi dan persetujuan manajemen.
  4. Pemrosesan transaksi, file, laporan, catatan, dan catatan komputer lainnya tepat dan lengkap.
  5. Data sumber yang tidak tepat atau tidak diotorisasi dengan benar diidentifikasi dan ditangani berdasarkan kebijakan manajerial yang telah ditentukan.
  6. File-file data komputer tepat, lengkap, dan rahasia.
Kerangka Kerja untuk Audit Keamanan Komputer Secara Menyeluruh
Jenis-jenis kesalahan dan penipuan :
  • Pencurian atau kerusakan yang tidak disengaja atau disengaja pada perangkat keras.
  • Kehilangan, pencurian, atau akses yang tidak diotorisasi terhadap program, data, dan sumber daya sistem lainnya.
  • Gangguan atas aktivitas bisnis yang krusial
  • Modifikasi atau penggunaan yang tidak diotorisasi program dan filem data
Prosedur pengendalian :
  • Rencana keamanan atau perlindungan informasi
  • Pembatasan atas akses fisik terhadap peralatan komputer
  • Prosedur perlindungan virus
  • File backup dan prosedur pemulihan
  • Firewall
  • Pemeliharaan preventif
  • Rencana pemulihan bencana
Prosedur audit-tinjauan sistem :
  • Memeriksa dengan seksama situs komputer
  • Memeriksa kebijakan dan prosedur akses fisik dan logis
  • Memeriksa kontrak pemeliharaan penjual
  • Menguji log akses sistem
  • Menguji kebijakan asuransi kecelakaan dan gangguan bisnis
Prosedur audit-pengujian pengendalian :
  • Mengamati dan menguji prosedur akses situs komputer
  • Memverifikasi tingkat dan efektifitas dari enkripsi data
  • Menyelidiki bagaimana upaya akses yang tidak diotorisasi dihadapi
  • Menguji hasil dari simulasi uji rencana pemulihan bencana
Pengendalian kompensasi :
  • Kebijakan personel yang kuat, termasuk pemisahan dari tugas yang tidak sesuai
  • Pengendalian pengguna yang efektif
Kerangka Kerja untuk Audit Pengembangan Program
Jenis-jenis kesalahan dan penipuan :
  • Kelalaian pemrograman atau kode program yang tidak diotorisasi
Prosedur pengendalian :
  • Pemeriksaan atas persetujuan lisensi perangkat lunak
  • Persetujuan manajemen dan pengguna atas spesifikasi pemrograman
  • Dokumentasi sistem yang lengkap, termasuk persetujuan
Prosedur audit-tinjauan sistem :
  • Pemeriksaan independen atas proses pengembangan sistem
  • Pemeriksaan atas standar evaluasi pemrograman
  • Pemeriksaan atas standar dokumentasi program dan sistem
  • Pemeriksaan atas kebijakan dan prosedur persetujuan pengujian
Prosedur audit-pengujian atas pengendalian :
  • Memeriksa pemberitahuan dari pertemuan tim pengembangan untuk bukti keterlibatan
  • Memeriksa spesifikasi pengujian, data pengujian, dan hasil pengujian sistem
  • Memeriksa persetujuan lisesnsi perangkat lunak
Pengendalian kompensasi :
  • Pengendalian pemrosesan yang kuat
  • Pemrosesan independen atas data pengujian oleh auditor
Kerangka Kerja untuk Audit Modifikasi Program
Jenis-jenis kesalahan dan penipuan :
  • Kesalahan pemrograman atau kode program yang tidak diotorisasi
Prosedur pengendalian :
  • Daftar komponen-komponen program yang dimodifikasi
  • Otorisasi dan persetujuan manajemen atas modifikasi program
  • Persetujuan pengguna atas spesifikasi perubahan program
  • Pengendalian akses logis
Prosedur audit-tinjauan sistem :
  • Memeriksa kebijakan, standar, dan prosedur modifikasi program
  • Memeriksa standar dokumentasi untuk modifikasi program
  • Memeriksa dokumentasi final atas modifikasi program
  • Memeriksa standar evaluasi pemrograman
Prosedur audit-pengujian atas pengendalian :
  • Mengamati implementasi perubahan program
  • Memverifikasi bahwa pemisahan versi pengembangan, uji, dan produksi dipertahankan
  • Memverifikasi bahwa perubahan tidak diimplementasikan oleh pengguna atau personel pemrograman
Pengendalian kompensasi :
  • Pengujian audit independen atas perubahan program yang tidak diotorisasi atau salah
  • Pengendalian pemrosesan yang kuat
Kerangka Kerja untuk Audit atas Pengendalian Pemrosesan Komputer
Jenis-jenis kesalahan dan penipuan :
  • Kegagalan mendeteksi data input yang salah, tidak lengkap, atau tidak diotorisasi
  • Distribusi atau pengungkapan yang tidak tepat atas output komputer
  • Ketidaktepatan yang disengaja maupun tidak disengaja dalam pelaporan
Prosedur pengendalian :
  • Rutinitas pengeditan data
  • Penggunaan yang tepat atas label file internal dan ekstrenal
  • Rekonsiliasi atas total batch
  • Prosedur perbaikan kesalahan yang efektif
  • Pengawasan yang kompeten atas operasi komputer
Prosedur audit-tinjauan sistem :
  • Memeriksa dokumentasi administratif untuk memproses standar pengendalian
  • Memeriksa dokumentasi pengoperasian untuk kelengkapan dan kejelasan
  • Mengamati fungsi operasi komputer dan pengendalian data
  • Memeriksa salinan daftar kesalahan, laporan total batch, dan data perubahan file
Prosedur audit-pengujian atas pengendalian :
  • Mengevaluasi kecukupan atas standar dan prosedur pengendalian pemrosesan
  • Mengevaluasi kecukupan dan kelengkapan pengendalian pengeditan data
  • Memverifikasi bahwa output sistem aplikasi didistribusikan dengan tepat
  • Memverifikasi ketepatan pemrosesan atas transaksi-transaksi yang sensitif
Pengendalian kompensasi :
  • Pengendalian pengguna yang kuat dan pengendalian atas data sumber yang efektif
Kerangka Kerja untuk Audit atas Pengendalian Data Sumber
Jenis-jenis kesalahan dan penipuan :
  • Data sumber yang tidak tepat atau tidak diotorisasi
Prosedur pengendalian :
  • Otorisasi pengguna atas input data sumber
  • Verifikasi digit cek
  • Verifikasi kunci
  • Penggunaan turnaround document
  • Rutinitas pengeditan data
Prosedur audit-tinjauan sistem :
  • Memeriksa dokumentasi mengenai tanggung jawab fungsi pengendalian data
  • Memeriksa dokumentasi administratif untuk standar pengendalian data sumber
  • Memeriksa metode otorisasi dan menguji tanda tangan otorisasi
Prosedur audit-uji pengendalian :
  • Memverifikasi pemeliharaan yang baik dan penggunaan log pengendalian data
  • Mengevaluasi bagaimana komponen-komponen kesalahan log dihadapi
  • Menguji data sumber untuk otorisasi yang benar
  • Merekonsiliasi total batch dan menindaklanjuti ketidaksesuaian
Pengendalian kompensasi :
  • Pengendalian pengguna dan pengolahan data yang kuat
Kerangka Kerja untuk Audit atas Pengendalian File Data
Jenis-jenis kesalahan dan penipuan :
  • Penghancuran data tersimpan karena kesalahan, kegagalan perangkat keras atau perangkat lunak, dan tindakan sabotase atau perusakan yang disengaja
  • Modifikasi atau pengungkapan data tersimpan yang tidak diotorisasi
Prosedur pengendalian :
  • Pengendalian akses logis dan sebuah matriks pengendalian akses
  • Pengendalian perbaruan secara bersamaan 
  • Enkripsi pada data rahasia
  • Perangkat lunak perlindungan virus
  • Backup off-site atas seluruh file data
Prosedur audit-tinjauan sistem :
  • Memeriksa dokumentasi bagi operasi perpustakaan file
  • Memeriksa kebijakan dan prosedur akses logis
  • Menguji rencana pemulihan bencana
  • Mendiskusikan prosedur pengendalian file dengan para manajer dan operator
Prosedur audit-pengujian atas pengendalian :
  • Mengamati dan mengevaluasi operasi perpustakaan file
  • Memeriksa catatan atas penentuan dan modifikasi kata sandi
  • Mengamati persiapan dan penyimpanan off-site atas file backup
  • Memverifikasi penggunaan efektif atas prosedur perlindungan virus
Pengendalian kompensasi :
  • Pengendalian pengguna dan pengolahan data yang kuat
  • Pengendalian keamanan komputer yang efektif
Para audior biasanya menggunakan lima teknik audit bersama sebagai berikut :
  1. Sebuah integrated test facility menyisipkan catatan-catatan file mempresentasikan divisi, departemen, pelanggan, atau pemasok fiktif di induk perusahaan.
  2. Dalam teknik snapshot, transaksi-transaksi yang terpilih ditandai dengan sebuah kode khusus.
  3. System control audit review file (SCARF) menggunakan modul audit yang dilekatkan untuk terus menerus mengawasi aktivitas transaksi, mengumpulkan data dalam transaksi dengan signifikansi audit khusus, serta menyimpannya dalam sebuah file SCARF atau log audit.
  4. Audit hooks adalah rutinitas audit yang memberitahu para auditor atas transaksi-transaksi yang dipertanyakan, biasanya saat transaksi-transaksi tersebut terjadi.
  5. Continuous and intermittent simulation (CIS) melekatkan sebuah modul audit dalam sebuah sistem manajemen database yang menguji seluruh transaksi yang memperbarui database menggunakan kriteria yang serupa dengan SCARF.

  


Diposting oleh di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)